SMB 文件服务器共享访问权限是通过 DNS CNAME 别名不成功

重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。

点击这里察看该文章的英文版: 3181029
症状
配置
  • 您正在运行 SMB 文件服务器,如 Windows 服务器。服务器文件和资源的配置使用的 NetBIOS 名称,DNS 的完全合格的域名称 (FQDN) 和其别名 (CNAME)。
  • 您必须运行 Windows 7,Windows Server 2008 R2、 Windows 8.1 或 Windows Server 2012 R2 的客户端。

方案
  • 当一个应用程序或用户正在使用 SMB 服务器上使用的文件或其他资源的实际存储名称 (NetBIOS 名称或 FQDN) 时,访问是成功的。
  • 当应用程序或用户使用 CNAME 别名文件或使用 SMB 服务器上的其他资源,并尝试连接到其 DNS CNAME 别名文件服务器上的共享。例如,您尝试通过使用如以下所示其 DNS CNAME 别名连接到文件服务器上的共享︰
    NET USE * \\CNAME\共享名称

    在这种情况下,您遇到以下情况︰
    • 从 Windows Server 2008 R2 或 Windows 7 的客户端的访问是成功的。
    • 从 Windows Server 2012 R2 或 Windows 8.1 客户端访问不成功。在这种情况下,您收到类似于以下内容的错误消息︰
      打开文件夹

      \\unc 路径 不能访问。您可能没有权限使用网络资源。请与此服务器的管理员联系,以了解您是否具有访问权限。

      登录失败︰ 该目标帐户名称不正确。

原因
  • 如果您使用网络监视器、 WireShark 或 Microsoft 消息分析器检查网络跟踪,SMB 会话设置成功后,该会话进入树连接。

    然而,如果 SMB 会话设置不成功时,您可以检查网络跟踪,会话失败,Kerberos KRB_AP_ERR_MODIFIED 错误。以下是网络跟踪中成功 SMB 会话设置请求的示例︰
    MessageNumber DiagnosisTypes 时间戳源目标模块摘要
    112 无 2016年-02-09T15:20:02 客户端服务器 SMB2 协商,状态︰ 成功,2780879Guid: {12f74af4-be82-11e5-b5c2-005056890096} DialectRevision: SMB 2。
    112 无 2016年-02-09T15:20:02 客户端服务器 SMB2 NegotiateRequest、 方言: [SMB 2.0.2,SMB 2.1],功能:,2780879Guid: {12f74af4-be82-11e5-b5c2-
    115 无 2016年-02-09T15:20:02 服务器客户端 SMB2 NegotiateResponse、 状态︰ 成功、 DialectRevision: SMB 2.1、 功能︰ SMB2GlobalCapDfs |SMB2GlobalC
    116 无 2016年-02-09T15:20:02 客户端服务器 SMB2 SessionSetup、 状态︰ STATUS_MORE_PROCESSING_REQUIRED,Kerberos,标志︰ 0
    116 无 2016年-02-09T15:20:02 客户端服务器 SMB2 SessionSetupRequest,Kerberos,标志︰ Unknown(0)、 PreviousSessionId: 0x0000000000000000
    122 无 2016年-02-09T15:20:02 服务器客户端 SMB2 SessionSetupResponse、 状态︰ STATUS_MORE_PROCESSING_REQUIRED,Kerberos,会话 Id: 0x000004030800006D
    135 无 2016年-02-09T15:20:02 客户端服务器 SMB2 SessionSetup、 状态︰ STATUS_MORE_PROCESSING_REQUIRED,Kerberos,标志︰ 0
    135 无 2016年-02-09T15:20:02 客户端服务器 SMB2 SessionSetupRequest,Kerberos,标志︰ Unknown(0)、 PreviousSessionId: 0x0000000000000000
    143 无 2016年-02-09T15:20:02 服务器客户端 SMB2 SessionSetupResponse、 状态︰ STATUS_MORE_PROCESSING_REQUIRED,Kerberos,会话 Id: 0x000004030800006D

    在 SMB 会话设置失败请求中,客户端将转发正确的 CNAME SPN。SPN 可能不正确,因为它被注册的都是旧的服务器。但是在成功的 SMB 会话设置请求如 Windows Server 2008 R2 客户端的情况下,客户端将转发的 SPN 实际的服务器名称。

  • 如果文件服务器名称已通过 DNS 解析,则 SMB 客户端追加的用户提供的名称的 DNS 后缀。即,SPN 的第一个组件将始终为用户提供名称,如以下示例所示︰
    CNAME.contoso.com\共享名称

    注意: 旧 SMB 的实现上 (如 AIX Samba 3.5.8),无法配置 Kerberos 身份验证,并不会不听 SMB 直接主机端口 445,但仅 NetBIOS 端口 139,此尝试将失败。

  • 如果文件服务器名称是通过例如 NetBIOS 或链接本地多播名称解析 (LLMNR) 或对等名称解析协议 (PNRP) 进程的其他一些机制来解析,SMB 客户端将使用用户提供的名称如下所示︰
    CNAME\共享名称
解决方案
若要解决此问题,在运行 SMB 版本 1 协议的文件服务器上,请向注册表中添加的DisableStrictNameChecking值︰
注册表位置︰HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
双字节名称︰DisableStrictNameChecking
双字节值︰ 1

重要:请为文件服务器使用 DNS Cname 将来。如果您想要仍为"备用名称"提供给服务器,可以使用以下命令来执行操作︰
NETDOM 名命令

注意此命令会自动的备用名称注册 Spn。

不建议使用我们不建议您解决此问题不是基于 Windows 通过在基于 Windows 的计算机上提升的命令提示符窗口中键入下面的命令的文件服务器。请注意,您将不得不使用域管理员凭据登录,然后在命令提示符下,基于非 Windows 文件服务器存储设备的 CNAME 注册 SPN 中按 enter 键︰
SETSPN-主机 /alias_name 目标服务器
SETSPN-主机 /alias_name.contoso.com 目标服务器

备注:
  • 如果您使用 Windows 2012 群集,则 Windows XP 或 Windows Server 2003 的计算机不能连接的低级别客户端安装此修复程序︰
    2838043 不能访问托管在基于 Windows Server 2012 的故障转移群集的资源
  • 如果您创建的客户端连接到该群集名称 CNAME,您必须确保,以便响应 Cname,该聚集索引名称上设置属性︰

更多信息

故障排除

网络跟踪

若要收集网络跟踪,请执行以下步骤︰
  1. 打开提升的命令提示符窗口,键入以下命令,然后按 enter 键︰
    netsh 跟踪启动 NetConnection 捕获 = yes maxsize = 100 filemode 循环覆盖 = = 是 traceFile=c:\%COMPUTERNAME%_Repro_trace.etl
  2. 删除所有现有文件服务器的网络连接。若要执行此操作,键入下面的命令,然后按 enter 键︰
    NET USE * / 删除
  3. 初始化高速缓存的所有名称。若要执行此操作,删除现有的缓存通过执行以下步骤︰
    1. 要删除 DNS 缓存,请键入下面的命令,然后按 enter 键︰
      IPCONFIG /FLUSHDNS
    2. 要删除 NetBIOS 缓存,请键入以下命令,,然后按 enter 键︰
      NBTSTAT-RR
    3. 要删除 Kerberos 缓存,请键入以下命令,,然后按 enter 键︰
      KLIST /PURGE
    4. 要删除 ARP 缓存,请键入下面的命令,然后按 enter 键︰
      ARP-d
  4. 尝试连接到网络共享,通过键入以下命令,然后按 enter 键︰
    NET USE *?服务器名称\共享名称
  5. 停止不成功的方案中的网络跟踪,键入下面的命令,然后按 enter 键︰
    netsh 跟踪停止

SDP 报告网络

有关如何收集 SDP 报告网络的信息,请参阅以下文章 Microsoft 知识库中相应的文章︰
2562677 [SDP 3]对于 Windows 的 [9b9d2b88-02f1-4a27-807d-0bb44178cdab] 网络诊断

收集注册表设置

要收集文件服务器上的注册表设置,单击开始,单击运行,在打开框中,键入该命令,然后单击确定。重复此步骤,下面的命令︰
  • 登记EXE 将保存 HKLM\SYSTEM C:\TEMP\%COMPUTERNAME%_SYSTEM。HIV
  • 登记EXE 将保存 HKLM\SOFTWARE C:\TEMP\%COMPUTERNAME%_SOFTWARE。HIV
  • 登记EXE 将保存 HKCU\Software C:\TEMP\%COMPUTERNAME%_HKCU。HIV

注意注册表设置文件 (。HIV) 保存在文件服务器上的临时文件夹。

请检查注册表设置

检查以下注册表值,在文件服务器上的设置︰
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SmbServerNameHardeningLevel
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters\DisableStrictNameChecking

应用修补程序 (服务器和客户端)

对于 Windows 7,Windows Server 2008 R2 将应用以下 Windows 7 企业版修补程序汇总包︰
2775511 企业修补程序汇总包是适用于 Windows 7 SP1 和 Windows Server 2008 R2 SP1

此外,将应用以下修复程序︰
2732673 .Pst 文件都存储在正在运行 Windows Server 2008 R2 网络文件服务器时出现错误"延迟写入失败"消息

2728738 当您尝试登录到基于 Windows 7 的或使用漫游配置文件的基于 Windows Server 2008 R2 的客户端计算机长时间登录时,您遇到

2878378 OpsMgr 2012 或 OpsMgr 2007 R2 生成"心跳失败"消息并再进入 Windows Server 2008 R2 SP1 中的灰色状态

参考

知识库文章

281308 连接到 SMB 共享的基于 Windows 2000 的计算机或基于 Windows Server 2003 的计算机上可能不使用别名

914056 如果您在基于 Windows Server 2003 群集上禁用 NetBIOS,您可能会收到错误消息

926642 当您尝试通过使用其 FQDN 或其 CNAME 别名后安装 Windows 服务器 2003 Service Pack 1 本地访问的服务器的错误消息:"拒绝访问"或"无网络供应商接受给定的网络路径"

957097 MS08-068: SMB 中的漏洞可能允许远程代码执行

2838043 不能访问托管在基于 Windows Server 2012 的故障转移群集的资源

2473205 文件服务技术和 Windows Server 2008 R2 Windows Server 2008 中当前可用的修补程序列表

2899011 文件服务技术和 Windows Server 2012 R2 中 Windows Server 2012 的当前可用的修补程序列表

TechNet 文章和 MSDN 博客

第三方信息免责声明

本文讨论的第三方产品是由与 Microsoft 无关的公司生产的。Microsoft 不做这些产品的任何担保、默示或其他有关的性能或可靠性。

属性

文章 ID:3181029 - 上次审阅时间:08/05/2016 10:24:00 - 修订版本: 1.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows 8.1, Windows 8.1 Enterprise, Windows 8.1 Pro, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows 7 Enterprise, Windows 7 Professional, Windows 7 Ultimate

  • kbexpertiseinter kbprb kbsurveynew kbmt KB3181029 KbMtzh
反馈